AMD Produktsicherheit
Erläutert den AMD Ansatz für das Schwachstellenmanagement, die koordinierte Offenlegung und die Risikominderung in Unternehmen.
Vorbereitung für den EU Cyber Resilience Act mit AMD
Der Cyber Resilience Act der Europäischen Union (EU CRA) stellt einen wichtigen Schritt bei der Festlegung von Cybersicherheitsanforderungen für Produkte in unserer zunehmend digitalen Welt dar. Als führendes Unternehmen im Bereich High-Performance-Computing beteiligt sich AMD aktiv am Standardisierungsprozess, um Anforderungen zu formulieren, die die Cybersicherheit verbessern und gleichzeitig Innovationen ermöglichen.
AMD hat sich uneingeschränkt dazu verpflichtet, alle geltenden Anforderungen des EU Cyber Resilience Act (CRA) zu erfüllen und sicherzustellen, dass Kunden, die in der EU tätig sind, CRA-konforme AMD Technologien einsetzen. Unsere fortlaufenden Investitionen in sicheres Produktdesign, Schwachstellenmanagement und Compliance-Prozesse versetzen uns in die Lage, die Anforderungen des CRA zu erfüllen, sobald sie in Kraft treten.
Was ist der EU CRA?
Der CRA soll Verbraucher und Unternehmen schützen, indem verbindliche Cybersicherheitsanforderungen für Hersteller und Einzelhändler von Produkten mit digitalen Komponenten eingeführt werden. Dieser Schutz erstreckt sich über den gesamten Produktlebenszyklus und gilt für vernetzte Geräte, mit bestimmten Ausnahmen für Produkte, die bereits durch bestehende Vorschriften abgedeckt sind.
Der CRA gilt direkt für Mikroprozessoren und FPGAs mit sicherheitsrelevanten Funktionen sowie für Endprodukte wie Server, Notebooks, Embedded- und Verbrauchergeräte.
Wichtige Meilensteine
Ihr Weg zur Compliance
Die Einhaltung der Vorschriften im Rahmen des CRA ist für alle in der EU tätigen Unternehmen von entscheidender Bedeutung, da sie den legalen Zugang zum EU-Markt sicherstellt und das Vertrauen der Kunden stärkt, indem sie während des gesamten Produktlebenszyklus ein starkes Engagement für Cybersicherheit unter Beweis stellt. Da der CRA risikobasiert ist, müssen Sie zunächst eine Risikobewertung Ihrer Produkte durchführen. Die Risikobewertung informiert Sie darüber, welche Bedrohungen für das Produkt bestehen, und führt anschließend zu den Cybersicherheitsanforderungen, die erfüllt werden müssen, um Compliance zu erreichen.
Ihr Weg zur Compliance hängt vom Ergebnis der Risikobewertung ab. Die Produktsicherheitsprozesse, Dokumentationen und Offenlegungspraktiken von AMD ergänzen Ihre CRA-Risikobewertungen.
Der AMD Ansatz zur Ermöglichung von Innovationen im Rahmen des CRA besteht aus drei Säulen:
Compliance
AMD Kunden können branchenführende AMD Produkte auf EU-regulierten Märkten mit Zuversicht einsetzen.
Fähigkeit
Der Zugriff auf moderne Sicherheitsfunktionen ermöglicht selbst die kritischsten Anwendungen.
Kommunikation
AMD hält Kunden durch langfristige Dokumentation und Berichte über Schwachstellen auf dem Laufenden.
Compliance
Compliance von AMD Produkten im Rahmen des CRA
Im Rahmen des CRA werden Produkte nach den Cybersicherheitsfunktionen oder der Funktion und dem Grad des Cybersicherheitsrisikos kategorisiert, das von dem Produkt ausgeht. Diese Klassifizierung bestimmt die Schritte, die Hersteller unternehmen müssen, um die Compliance zu erreichen. Basierend auf den aktuellen CRA-Rahmenkonzepten werden AMD Produkte voraussichtlich in die folgenden Kategorien fallen:
- Standard: Die meisten AMD Standardentwicklungstools
- Klasse I (wichtig):
- Prozessoren und FPGAs mit Sicherheitsfunktionen
- Bestimmte Embedded-Lösungen und sicherheitskritische Softwarekomponenten
Bestimmte vertikale Standards innerhalb des CRA werden noch von den Normungsgremien finalisiert. AMD beteiligt sich aktiv an diesen Entwicklungen und wird die Leitlinien aktualisieren, sobald die endgültigen Standards veröffentlicht sind. AMD befolgt alle erforderlichen CRA-Regeln und -Vorschriften, die auf diesen Klassifizierungen basieren, und stellt Ihnen damit konforme Produkte zur Verfügung, die als Grundlage dienen, auf der Sie aufbauen können.
Fähigkeit
Moderne Sicherheitsfunktionen mit AMD Produkten
Sicherheit muss über den gesamten Produktlebenszyklus berücksichtigt werden, um ein System bestmöglich zu schützen. Würde man beispielsweise fehlertolerante Sicherheitslösungen auf Anwendungsebene entwickeln, die auf einem Chip bereitgestellt werden, der nicht sicher bootet, dann wäre das so, als ob man eine prächtige Villa auf den sprichwörtlichen Sand bauen würde. AMD und unsere Kunden haben jeweils eine eigene Rolle bei der Entwicklung von Systemen, die auf Sicherheit ausgerichtet sind. Es ist auch wichtig, sich einzugestehen, dass kein System vollständig immun gegen Angriffe ist – mit genügend Zeit, Energie, Ressourcen und Geld kann jedes System gefährdet werden. Beim Thema Sicherheit geht es darum, Risiken zu managen, und um die Frage, wie viel ein Kunde in sein Risikomanagement investieren möchte.
AMD wendet erstklassige Best Practices an, um die Vertrauenswürdigkeit seiner Chips, seiner Software und seiner Entwicklungstools zu stärken. In den Chips sind Gegenmaßnahmen integriert, die zum Schutz vor einer Vielzahl von Angriffsvektoren beitragen sollen. Der Secure Boot oder die Konfiguration unserer Produkte nutzt einen Vertrauensanker mit integrierter Authentizität, Vertraulichkeit und Integrität.
Die im Rahmen des CRA festgelegten spezifischen Designanforderungen werden in die AMD Designmethodik einbezogen. Weitere Informationen zu bestimmten AMD Sicherheitstechnologien erhalten Sie von Ihrem lokalen AMD Vertriebsmitarbeiter.
Kommunikation
Dokumentation
Um die Sicherheit während des gesamten Produktlebenszyklus zu maximieren, erfordert der CRA eine Dokumentation mehrerer wichtiger Aspekte, darunter die Risikobewertung, eine EU-Konformitätserklärung, eine Softwarestückliste (SBOM) und Informationen über den Supportzeitraum; darin ist die Mindestdauer festgelegt, für die ein Anbieter die Einhaltung der CRA-Vorschriften aufrechterhalten will. AMD überprüft derzeit unsere bestehenden, etablierten Prozesse, um die Einhaltung der Dokumentationsanforderungen des CRA sicherzustellen.
Meldung von Schwachstellen
Als Mitglied der CVE Numbering Authority (CNA) befolgt AMD bereits koordinierte Praktiken zur Offenlegung von Schwachstellen und versucht, schnell und angemessen auf gemeldete Probleme zu reagieren. AMD wird dieses bewährte Fachwissen nutzen, um die spezifischen Anforderungen des CRA an das Schwachstellenmanagement zu erfüllen. Weitere Informationen finden Sie unter AMD Produktsicherheit.
AMD Engagement
Wenn Sie die Cybersicherheit in Ihren Produktanforderungen bisher noch nicht berücksichtigen mussten, kann diese neue Gesetzgebung unbekannte Herausforderungen mit sich bringen. AMD verfügt über mehr als 50 Jahre Erfahrung in der Bereitstellung kritischer Anwendungen und bietet Ihnen die nötige Expertise, um diese Veränderungen zu bewältigen, indem Technologien bereitgestellt werden, die die CRA-Anforderungen erfüllen.
